iPhoneなどApple製品にゼロデイ脆弱性 悪用も確認済みのため注意：セキュリティニュースアラート

Appleが公開した最新のセキュリティアップデートで、WebKitのゼロデイ脆弱性が修正された。Safariを含む複数のOSに影響し、悪用も確認されているため迅速な更新が推奨される。

[後藤大地，ITmedia]

　Appleは2025年12月12日（現地時間）、同社製品のセキュリティアップデートを公開し、「macOS」や「iOS」「iPadOS」など複数のプラットフォームに影響する多数の脆弱（ぜいじゃく）性を修正した。その更新内に「WebKit」に存在するゼロデイ脆弱性が含まれていることが分かった。

iPhoneなどApple製品にゼロデイ脆弱性　影響は広範囲に及ぶため注意

　WebKitに存在するゼロデイ脆弱性「CVE-2025-14174」はWebKitにおけるメモリ破損の問題で、細工されたWebコンテンツを処理した際に不正なメモリアクセスが生じる恐れがある。WebKitは「Safari」の中核を成すブラウザエンジンであり「iPhone」や「iPad」の全てのWebブラウザに使われている。

　影響範囲はiOSやiPadOS、macOS、「tvOS」「watchOS」「visionOS」と広範囲に及ぶ。AppleはiOSおよびiPadOS 26.2、iOSおよびiPadOS 18.7.3、「macOS Tahoe 26.2」、Safari 26.2、tvOS 26.2、watchOS 26.2、visionOS 26.2で修正を提供した。

　Appleのアドバイザリーにおいて、CVE-2025-14174が自社のセキュリティチームとGoogleのThreat Analysis Groupによって報告されたと説明されている。同時に修正された「CVE-2025-43529」もWebKitに関する別の欠陥（Use-After-Free）とされ、両者は同一の攻撃報告を受けて対処されたという。

　このCVE-2025-14174は、当初は詳細不明のまま修正が伝えられていた「Google Chrome」（以下、Chrome）のゼロデイ脆弱性と同一である点が明らかになった。Googleは数日前にデスクトップ版Chromeの更新を配布し、深刻度の高い問題が悪用されている事実を公表していた。

　その後の情報更新により、ANGLEグラフィックスライブラリーにおける境界外メモリアクセスの問題であることが判明し、CVE-2025-14174として評価された。ANGLEは主に「Chromium」系のWebブラウザで利用されているが、WebKitともコードレベルで影響が及ぶ部分があり、その結果としてApple製品にも影響が確認された。

　Chromiumを基盤とするWebブラウザへの影響も確認されており、「Microsoft Edge」を更新し、CVE-2025-14174への対処を実施した。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年12月12日、CVE-2025-14174を「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に追加した。CISAの説明では細工されたHTMLページを介してリモートから境界外メモリアクセスを引き起こす可能性があり、複数のWebブラウザに影響を与えるとしている。KEVへの掲載により、関係機関や利用者にはベンダーの指示に従った更新適用が求められる。